作为服务的勒索软件是游戏更换者,警告Sophos
作为服务(RAAS)的赎金软件易于使用,需要康复,定制和发射几乎没有技术技巧,并旨在赚钱,成本和努力相对较少。
这些是raas的主要特征在于Sophos研究员Dorka Palotay的Philadelphia Raas详细分析,发表在拉斯维加斯的Blackhat 2017。
根据Palotay的数据,罗斯正在帮助驾驶网络犯罪,少数例子是费城,作为费城,作为费城,他们是位于匈牙利的布达佩斯。
研究论文揭示了费城内部机制,任何人都可以通过雨水制造商实验室的暗网中的一些市场地点购买400美元,这与任何合法的软件公司销售产品和服务一样。
虽然费城只在黑暗的网络上可用,但Palotay发现Rainmaker Labs在YouTube上寄出了一种生产质量的“介绍”视频,解释了套件的螺母和螺栓以及如何在一系列功能选项中定制勒索软件在.com网站上也可以提供通过设置的详细的“帮助指南”。
“令人惊讶的是,雨制师实验室试图在这里做什么。关于费城的详细信息在互联网上的开放状态,而不是在暗网上的地下和秘密,这是大多数其他赎金套件销售的地方,“Palotay说。
“你不需要一个浏览器来查找费城,而且肆无忌惮地兜售的事实是令人着迷的,而且,不幸的是,表明要到的是什么,”他说。
除了营销外,Palotay还报告了产品本身是先进的,具有众多的设置,使买家能够定制他们如何攻击受害者。
费城RAA还包括跟踪谷歌地图上受害者的功能,显示受害者的怜悯,以及如何建立赎金软件活动的提示,设置命令和控制中心并收集金钱。
然而,根据Palotay的说法,“慈悲”功能似乎是旨在让Rainmaker Labs在费城赎金软件意外击中时遇到麻烦。
他说,跟踪选项,瞥见网络罪犯如何确定已支付的受害者的人口统计数据,以帮助罚款未来攻击。
“这种功能显示在[赎金软件]套件中更常见的是,结果显示了勒索软件如何越来越像一个真正的世界软件市场,”Palotay说。
虽然费城比其他RAA产品更昂贵,但通常需要39至200美元,但他指出它包括包括常量更新,无限的访问和无限制构建。“它就像一个实际的软件服务,支持具有定期更新的客户。”
然而,在400美元左右,费城也比第一代恶意软件套件便宜得多,这售价为10,000美元或以上,这意味着更多的网络罪犯可能会试一试。
费城也有所称为“桥梁”,这是一个PHP脚本,用于管理攻击者和受害者之间的通信,并保存有关攻击的信息。
附加功能包括自定义ransom消息的功能,并且如果在设置时间段之后尚未支付赎金,则删除某些文件。
“拥有自定义选项和桥梁在更多的利润中,为网络犯罪增加了可能提高赎金软件创新速度的全新维度,”Palotay说。
在其他raas案例中,Sophoslabs检查了,定价策略范围从带有套件客户的受害者拆分到销售对追随攻击的仪表板的订阅的百分比。
该报告还揭示了一些网络罪犯有“破解”或盗版费城,并以较低的成本销售自己的剥离版本,从而进一步增加了现成威胁的可用性,这些威胁不需要攻击者知道他们在做什么。
“网络罪犯窃取另一个人的代码或建立在旧版本的其他赎金的情况下,这是我们看到的,这就是我们最近看到的旧版攻击并不罕见,”Palotay说。“不受欢迎的攻击金眼,一个先前版本的Petya,与全球永恒的蓝色开采传播和感染电脑,”他说。
根据Dan Schiappa,Induser高级副总裁兼总经理的丹麦斯波帕和Sophos的网络安全组总经理,勒克斯马芯作为服务是游戏更换者。
“这个RAA模型意味着攻击者能够快速更改攻击向量和有效载荷,因为这只是服务的一部分,这意味着他们可以适应安全防御的速度增加,”他每周告诉计算机。
Schiappa表示,虽然费城报告用技术细节包装,但公司和组织的主要外卖是这种类型的威胁可能会变得更糟。
“raas是武装武装的攻击者,具有低成本,易于使用的产品,使用先进的漏洞和有效载荷,因此企业和组织不能只是穿过手指,并希望它不会击中它们,”他说。
Schiappa还警告说,raas只是Sophos研究人员已经确定组织应该了解和计划的几个趋势之一。
他说,这些趋势中最大的趋势是使用商业软件漏洞利用而不是可执行恶意软件。
“我们用Wannacry和Notpetya看到了这一点,我们很可能会看到它越来越明显,”Schiappa说,特别是诸如阴影经纪人释放到网络防御者未知的阴影经纪人的群体。
“我们希望攻击者使用相同的低级方法,例如网络钓鱼以提供有效载荷,但这些有效载荷越来越可能成为漏洞利用,例如wannacry使用的永恒蓝色smb [服务器消息块]协议漏洞利用。
“永恒的蓝色是Windows中的内核级漏洞,这种类型的漏洞极难找到,真的很难保护,”他说。
为了对付这型和其他新兴攻击类型,Sophos开发了一个名为拦截X的产品,旨在识别并阻止攻击者使用的利用使用。
根据Schiappa的说法,拦截X“表现得很好”,以保护来自Wannacry和NotpetyA的组织,这突出显示并非所有软件供应商都擅长发出安全更新或补丁,即使修补程序可用,也不是所有组织都擅长申请他们。
Schiappa表示,新兴网络威胁的另一个重要领域是与不断转移的IT景观有关,更年轻的高度变革公司正在迁移到Devops和基于云的应用程序等事实的事实。
“这是一个完整的安全范式,因为你对[Microsoft] Azure和AWS [Amazon Web服务]是一个在云量表上函数的操作系统,因此您仍然必须构建保护,工作负载保护和构建可见性在虚拟容器内发生了什么,“Schiappa说。
根据Sophos的说法,事物互联网(IOT)是数字世界中可能对数据安全有重要影响的另一个重要发展领域。
“最大的挑战之一是识别您在IT环境中拥有的内容,并将一些管理,网络和其他安全策略应用于它们,这可能在未来几年内成为一个巨大的问题,”Schiappa说。
面对这些威胁趋势,他说Sophos正在通过其产品组合而不是反应模型来移动到更具预测模型。
“而不是分析每个漏洞或扫描文件的文件,而是查看攻击者将攻击者投入恶意软件以利用漏洞的技术,例如感染主引导记录[MBR],”Schiappa说。“这种方法意味着拦截X能够在他们试图改变MBR时检测到的攻击。”
Sophos还投资于开发行为分析功能,以便触发赎金软件,例如,当检测到的行为或活动异常模式并且将恢复受影响文件的原始版本时,将关闭攻击,使用Cryptoguard产品。
“我们的主要创新领域是更加预测的,”Schiappa说,Schiappa说,Sophos最近收购了一家名为Invincea的公司,该公司已经开发了一家专注于“深度学习神经网络”的机器学习技术,这是一种先进的做法深入了解恶意软件以提高检测率,同时降低误报的数量。
“这项技术为我们提供了围绕基于可执行的恶意软件,潜在的不需要的应用程序和未知的坏网站的事物的预测性质的进一步能力,提供了一种使用算法和数据科学来预测而不是反应的方式,”他说。
然后,Sophos将其投资组合与其调用“同步安全性”联系在一起,以便在端点上识别出某些东西,这与其他Sophos产品(如防火墙)共享,则在端点清理终点时,它将端点与网络隔离。
来自Sophos的创新的另一个关键要素是Sophos Central,它是一个基于云的管理平台,使Sophos产品能够分享对数据的常见访问。
“这使得组织能够创建自动适应平台产品的安全策略,”Schiappa说。“这意味着组织还可以共享事件和警报,最终将能够在安全分析中共享数据,并能够与其他方式共享自动化和编排。“
有关针对所有类型的勒索软件的最佳实践,Sophos建议用户定期备份并保留最近的备份副本;在通过电子邮件收到的文档附件中启用宏启用宏;对未经请求的附件持谨慎;和修补早期,经常补丁。